Amazon S3 Object Lock

Vous pouvez utiliser S3 Object Lock au niveau du compartiment ou de l'objet et vous devez l'activer lors de la création d'un nouveau compartiment ou sur des compartiments existants. Pour utiliser S3 Object Lock avec un compartiment (ou des objets au sein d'un compartiment), vous devez d'abord activer la gestion des versions pour le compartiment S3. Les périodes de rétention et les conservations légales s'appliquent aux versions individuelles des objets. Lorsque vous verrouillez une version d'objet, Amazon S3 stocke les informations de verrouillage dans les métadonnées de cette version d'objet. L'attribution d'une période de rétention ou d'une conservation légale à un objet protège uniquement la version spécifiée dans la demande. Cela n'empêche pas la création de nouvelles versions de l'objet, ni ne supprime les marqueurs placés au-dessus des versions d'objets verrouillées. 

La protection S3 Object Lock est conservée quelle que soit la classe de stockage de l'objet lors des transitions de cycle de vie S3 entre les classes de stockage. En l'utilisant avec la gestion des versions S3 qui empêche les objets d'être écrasés, vous pouvez vous assurer que les objets restent immuables tant que la protection S3 Object Lock est appliquée. Vous pouvez migrer des charges de travail depuis des systèmes de stockage WORM existants vers Amazon S3 et configurer S3 Object Lock aux niveaux de l'objet et du compartiment pour empêcher les suppressions de versions d'objets avant une date prédéfinie ou une date de conservation légale. 

Vous pouvez également activer la réplication S3 sur un compartiment sur lequel S3 Object Lock est activé pour répliquer des objets ainsi que leurs paramètres de rétention. Lors de la réplication d'objets, si S3 Object Lock est activé dans le compartiment source, S3 Object Lock doit également être activé dans le compartiment de destination.

S3 Object Lock propose deux méthodes de gestion de la conservation des objets : les périodes de conservation et les mises en suspens légales. Lorsque S3 Object Lock est activé sur un compartiment, Une version d'objet peut comporter à la fois une période de conservation et une suspension légale, l'une mais pas l'autre, ou aucune des deux. 

• Période de conservation : spécifie une période fixe pendant laquelle un objet reste verrouillé. Pendant cette période, votre objet est soumis à une protection WORM et ne peut être ni écrasé ni supprimé. Lorsque vous attribuez une période de conservation à une version d'objet, Amazon S3 enregistre un horodatage dans les métadonnées de la version de l'objet pour indiquer la date d'expiration de la période de conservation. Une fois la période de conservation expirée, la version de l'objet peut être écrasée ou supprimée, à moins que vous n'ayez attribué une suspension légale à la version de l'objet. À l'aide d'une politique de compartiment, vous pouvez définir des périodes de rétention minimales et maximales autorisées pour un compartiment afin de vous aider à établir une plage de périodes de rétention autorisées. Pour plus d'informations, voir Périodes de conservation.
• Conservation légale : fournit la même protection qu'une période de rétention, mais n'a pas de date d'expiration. À l'inverse, une conservation légale reste en place jusqu'à ce que vous la supprimiez explicitement. Les conservations légales sont indépendantes des périodes de rétention. Pour plus d'informations, voir Suspensions légales.

Les périodes de conservation et les modes de conservation sont toujours configurés en tandem, contrairement aux suspensions légales, qui sont configurés indépendamment. S3 Object Lock propose deux modes de conservation qui appliquent différents niveaux de protection à vos objets. Vous pouvez appliquer l'un ou l'autre mode de rétention à n'importe quelle version d'objet protégée par Object Lock.

• Mode gouvernance : en mode gouvernance, les utilisateurs ne peuvent pas écraser ou supprimer la version d'un objet ni modifier ses paramètres de verrouillage à moins de disposer d'autorisations spéciales. Le mode gouvernance vous permet d'empêcher la plupart des utilisateurs de supprimer les objets. Vous pouvez cependant toujours autoriser certains utilisateurs à modifier les paramètres de rétention ou à supprimer l'objet si nécessaire. Vous pouvez également utiliser le mode gouvernance pour tester les paramètres de période de rétention avant de créer une période de rétention en mode conformité.
• Mode conformité : en mode conformité, aucune version d'objet protégée ne peut être écrasée ni supprimée par un utilisateur, y compris par l'utilisateur root de votre compte AWS. Lorsqu'un objet est verrouillé en mode conformité, vous ne pouvez pas modifier le mode rétention ni raccourcir la période de rétention. Le mode conformité permet de vous assurer qu'une version d'objet ne peut pas être écrasée ni supprimée pendant la durée de la période de conservation.  La conformité de S3 Object Lock aux règles SEC 17a-4(f), FINRA 4511 et CFTC 1.31 a été évaluée par Cohasset Associates. 

Vous pouvez activer S3 Object Lock sur un compartiment pour tous les nouveaux objets avec les paramètres S3 Object Lock par défaut. Pour les objets existants, vous pouvez utiliser S3 Batch Operations pour appliquer les paramètres S3 Object Lock à des milliards d'objets à la fois en spécifiant un compartiment complet, un préfixe, un suffixe, une date de création ou une classe de stockage. Vous pouvez également spécifier une liste d'objets cibles dans votre manifeste et l'envoyer à S3 Batch Operations pour qu'elle soit achevée.

Comme tous les autres paramètres de S3 Object Lock, les périodes de rétention s'appliquent aux versions individuelles des objets. Les différentes versions d'un même objet peuvent avoir différents modes et périodes de rétention.

Supposons, par exemple, que vous ayez un objet dont la période de rétention est comprise entre 15 jours et 30 jours et que vous importez un nouvel objet dans Amazon S3 avec le même nom et une période de rétention de 60 jours. Dans ce cas, votre chargement aboutit et Amazon S3 crée une nouvelle version de l'objet avec une période de rétention de 60 jours. L'ancienne version conserve sa période de rétention initiale et peut être supprimée au bout de 15 jours.

Après avoir appliqué des périodes de conservation aux versions des objets, vous pouvez les prolonger. Pour ce faire, envoyez une nouvelle demande S3 Object Lock en utilisant S3 Batch Operations pour la version de l'objet avec une date de fin de conservation ultérieure à celle actuellement configurée. Amazon S3 remplace la période de rétention existante par la nouvelle période plus longue. En savoir plus.

Pour les données stockées dans Amazon S3, les bonnes pratiques commencent par la Gestion des versions Amazon S3, qui vous permet de préserver, de récupérer et de restaurer toutes les versions de chacun des objets stockés dans un compartiment Amazon S3. Vous pouvez ensuite ajouter Amazon S3 Object Lock pour empêcher la suppression ou l'écrasement des données pendant une durée déterminée ou indéfinie. Pour créer des copies supplémentaires de vos données dans une autre région AWS pour une protection multirégionale, vous pouvez activer la Réplication Amazon S3 dans un compartiment avec S3 Object Lock activé. Vous pouvez ensuite utiliser la Réplication S3 avec la Gestion des versions S3 et S3 Object Lock pour copier automatiquement des objets entre des régions AWS et des comptes AWS distincts. Pour utiliser S3 Object Lock avec des objets existants ou pour prolonger la période de verrouillage d'objets existants à l'approche de l'expiration de leur verrouillage, vous pouvez utiliser S3 Batch Operations et les Rapports S3 Inventory. Enfin, vous pouvez rassembler la visibilité de vos niveaux actuels de protection des données et de l'utilisation de ces fonctions dans un tableau de bord unique avec Amazon S3 Storage Lens.

Pour en savoir plus sur la façon dont vous pouvez protéger vos données sur Amazon S3, consultez le Tutoriel de mise en route sur la protection des données S3.